Worm.W32/Sasser

Alias:
W32/Sasser.worm, W32.Sasser.Worm, W32/Sasser.A.worm, Win32/Sasser.A, WORM_SASSER.A, Win32.Sasser.A, W32/Sasser.A, Sasser

Descripción:
Gusano que para propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Sólo afecta a equipos Windows 2000/XP y Windows Server 2003 sin actualizar.

También hace actuar a la máquina infectada como servidor FTP.

Podría provocar el reinicio del sistema infectado.

Detalles:
Worm.W32/Sasser es un gusano con capacidad para autoejecutarse cuya propagación se realiza gracias a una vulnerabilidad de algunos sistemas Windows.

Más información y acceso al parche que repara esta vulnerabilidad en el Boletín de Seguridad de Microsoft MS04-011.

El nombre del fichero que utiliza el gusano para propagarse es avserve.exe

Se propaga a equipos vulnerables que busca generando direcciones IP aleatorias.
Cuando encuentra un sistema vulnerable, el gusano crea un a rutina de FTP llamada cmd.ftp, y a continuación la ejecuta.
Esta rutina de FTP da instrucciones al equipo infectado para descargarse y ejecutar el gusano del equipo infectado. El equipo infectado acepta el tráfico FTP a través del puerto 5554.

Síntomas de Infección

• En Windows XP, muestra una ventana con un mensaje muy similar al siguiente:

    LSA Shell (Export Version) ha encontrado un problema
    y debe cerrarse. Sentimos los inconvenientes ocasionados.

• En Windows 2000 se muestra una ventana casi idéntica a la provocada en Windows XP por el gusano Blaster (Lovsan):

    Apagar el sistema
  
    Se está apagando el sistema. Guarde todo
    trabajo en curso y cierre la sesión. Se perderá
    cualquier cambio que no haya sido guardado.
    El apagado ha sido iniciado por NT
    AUTORITHY\SYSTEM
  
    Tiempo restante
    para el apagado: xx:xx:xx
  
    Mensaje
    El proceso del sistema
    C:\WINNT\system32\lsass.exe terminó
    de forma inesperada indicando código 0
    Windows debe reiniciar ahora.

  Para ejecutarse automáticamente cada vez que el sistema es reiniciado, el gusano añade a la siguiente clave del registro de Windows, el valor indicado.

  Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Valor: "avserve.exe" = C:\WINDOWS\avserve.exe 

  El gusano busca direcciones IP aleatorias y se conecta a los equipos vulnerables utilizando puertos TCP sucesivos comenzando por el 1068.
  También actua como servidor FTP a través del puerto 5554.
  
  Crea el fichero win.log en el directorio raíz de la unidasd C:. Este archivo contiene la dirección IP del equipo.
  
  Las copias del gusano se crean en el directorio System con el nombre #_up.exe.
  
  Ejemplos:
  • C:\WINDOWS\system32\11583_up.exe
  • C\WINDOWS\system32\16913_up.exe
  • C:\WINDOWS\system32\29739_up.exe

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
   
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero. 
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Para evitar que el gusano sea ejecutado automáticamente cada vez que el sistema es reiniciado, elimine de la siguiente clave del registro de Windows, el valor indicado.

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Valor: "avserve.exe" = C:\WINDOWS\avserve.exe

5. Actualice su sistema con el parche de la vulnerabilidad que aprovecha este gusano para propagarse a otros equipos.
   
   Más información y acceso al parche que repara esta vulnerabilidad en el Boletín de Seguridad de Microsoft MS04-011. 
   
   

6. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

---

• Symantec
• McAfee

Más información acerca de este virus en:

• Symantec
• Panda Antivirus
• McAfee

Fuente: red.es